Kaspersky Temukan Malware Android Menyamar sebagai Aplikasi Starlink, Bisa Kendalikan Ponsel Korban

Perusahaan keamanan siber Kaspersky mengungkap kampanye malware Android baru yang menyamar sebagai aplikasi Starlink. Serangan ini memanfaatkan Trojan bernama BeatBanker, yang mampu menginfeksi perangkat korban dan memberikan akses jarak jauh kepada pelaku kejahatan siber.

Temuan tersebut diungkap oleh Global Research and Analysis Team (GReAT) milik Kaspersky. Dalam kampanye ini, pelaku menyebarkan aplikasi Starlink palsu untuk mengelabui pengguna agar menginstal perangkat lunak berbahaya.

Target utama serangan diketahui berasal dari Brasil, namun para peneliti tidak menutup kemungkinan bahwa pengguna di negara lain juga dapat menjadi korban.

Kepala unit Amerika dan Eropa di Kaspersky GReAT Fabio Assolini menjelaskan malware BeatBanker sebelumnya diketahui menyebar dengan kedok aplikasi layanan publik.

“Awalnya kami melihat BeatBanker didistribusikan dengan kedok aplikasi layanan publik; aplikasi ini menginstal Trojan perbankan selain penambang kripto. Namun, upaya deteksi terbaru kami mengungkap kampanye baru dengan varian BeatBanker lain yang menyebarkan RAT BTMOB alih-alih modul perbankan,” ujarnya.

Ia menambahkan para pelaku kini menggunakan umpan aplikasi Starlink untuk menjangkau lebih banyak korban di berbagai negara.

“Para penyerang tampaknya menggunakan umpan baru dengan aplikasi Starlink untuk menjangkau lebih banyak korban dari berbagai negara. Oleh karena itu, penting bagi pengguna untuk tetap waspada dan menggunakan solusi canggih untuk melindungi ponsel pintar mereka,” kata Fabio.

Menurut Kaspersky, penyebaran malware ini dilakukan melalui halaman phishing yang meniru tampilan Google Play Store. Pengguna yang mengunjungi halaman tersebut akan diarahkan untuk mengunduh aplikasi Starlink palsu yang sebenarnya berisi Trojan BeatBanker.

Setelah aplikasi dijalankan, korban akan melihat antarmuka yang menyerupai Google Play. Di tahap ini, pelaku mencoba meyakinkan pengguna untuk memberikan izin instalasi yang kemudian memungkinkan malware mengunduh komponen berbahaya tambahan secara tersembunyi.

Salah satu modul yang diaktifkan adalah penambang kripto Monero, yang berjalan di latar belakang perangkat korban. Malware ini memantau kondisi perangkat seperti persentase baterai, suhu ponsel, dan aktivitas pengguna sebelum memulai proses penambangan kripto secara tersembunyi.

Selain itu, Trojan BeatBanker juga menginstal RAT (Remote Access Trojan) bernama BTMOB. Malware ini memungkinkan pelaku mengendalikan perangkat korban dari jarak jauh.

RAT BTMOB diketahui dijual sebagai Malware-as-a-Service, sehingga dapat digunakan oleh berbagai pelaku kejahatan siber.

Melalui malware ini, penyerang dapat secara otomatis memberikan izin pada aplikasi berbahaya, menyembunyikan notifikasi sistem, serta mencuri kredensial kunci layar seperti PIN, pola, dan kata sandi perangkat.

Malware tersebut juga memungkinkan pelaku mengakses kamera depan dan belakang, melacak lokasi GPS, serta mengumpulkan berbagai data sensitif dari perangkat yang terinfeksi.

Untuk mempertahankan keberadaannya di perangkat korban, BeatBanker menggunakan teknik yang tidak biasa. Malware ini mempertahankan notifikasi permanen dan menjalankan layanan latar belakang melalui pemutaran file audio yang hampir tidak terdengar.

Metode tersebut dirancang agar sistem operasi Android tidak menghentikan proses malware yang berjalan di perangkat.

Produk keamanan Kaspersky mendeteksi ancaman ini dengan label HEUR:Trojan-Dropper.AndroidOS.BeatBanker dan HEUR:Trojan-Dropper.AndroidOS.Banker.

Untuk menghindari ancaman serupa, Kaspersky menyarankan pengguna agar hanya mengunduh aplikasi dari toko aplikasi resmi seperti Google Play Store atau Apple App Store.

Pengguna juga dianjurkan memeriksa ulasan aplikasi, menggunakan tautan unduhan dari situs resmi, serta memasang perangkat lunak keamanan terpercaya untuk mendeteksi aktivitas berbahaya.

Selain itu, pengguna perlu lebih berhati-hati saat memberikan izin aplikasi, terutama izin yang memiliki akses tinggi seperti Layanan Aksesibilitas, serta selalu memperbarui sistem operasi dan aplikasi penting agar celah keamanan dapat segera ditutup.